5.1.7 Verify

5.1.7 Verify (Vérification)

1. Pour vérifier une signature sur un message M avec la clé publique A, F valant 0 pour Ed25519ctx, 1 pour Ed25519ph, et si Ed25519ctx ou Ed25519ph est utilisé, C étant le contexte, d'abord diviser la signature en deux moitiés de 32 octets. Décoder la première moitié comme point R, et la seconde comme entier S, dans l'intervalle 0 <= s < L. Décoder la clé publique A comme point A'. Si l'un des décodages échoue (y compris S hors plage), la signature est invalide.

2. Calculer SHA512(dom2(F, C) || R || A || PH(M)), et interpréter le digest de 64 octets comme un entier little-endian k.

3. Vérifier l'équation de groupe [8][S]B = [8]R + [8][k]A'. Il suffit, mais ce n'est pas obligatoire, de vérifier à la place [S]B = R + [k]A'.